CERT POLSKA. Raport Przypadki naruszające bezpieczeństwo teleinformatyczne

Podobne dokumenty
CERT POLSKA. Raport Przypadki naruszające bezpieczeństwo teleinformatyczne

Raport CERT NASK za rok 1999

Realne zagrożenia i trendy na podstawie raportów CERT Polska. CERT Polska/NASK

rejestrowanie i obsługa zdarzeń naruszających bezpieczeństwo sieci; alarmowanie użytkowników o wystąpieniu bezpośrednich dla nich zagrożeń;

Klasyfikacja i terminologia incydentów naruszających bezpieczeństwo sieci

Bezpieczeństwo systemów i lokalnej sieci komputerowej

Powstanie i działalność Rządowego Zespołu Reagowania na Incydenty Komputerowe CERT.GOV.PL

Najważniejsze trendy i zjawiska dotyczące zagrożeń teleinformatycznych w Polsce. Rafał Tarłowski CERT Polska/NASK

Zagrożenia związane z udostępnianiem aplikacji w sieci Internet

Usługa skanowania podatności infrastruktury IT Banków oraz aplikacji internetowych

Information Protection Center jako forma organizacyjna w odpowiedzi na stale rosnące zagrożenia bezpieczeństwa

INSTRUKCJA ZARZĄDZANIA SYSTEMAMI INFORMATYCZNYMI W COLLEGIUM MAZOVIA INNOWACYJNEJ SZKOLE WYŻSZEJ

Serwer druku w Windows Server

Krzysztof Silicki, Mirosław Maj NASK. CERT Polska

Zarządzanie informacją i wiedzą w usługach o podwyŝszonym poziomie bezpieczeństwa. Maciej Stroiński stroins@man.poznan.pl

BEZPIECZNIE I KULTURALNIE W INTERNECIE

Robaki sieciowe. + systemy IDS/IPS

Miejsce NC Cyber w systemie bezpieczeństwa teleinformatycznego państwa

Tytuł prezentacji. Wykrywanie cyberzagrożeń typu Drive-by Download WIEDZA I TECHNOLOGIA. Piotr Bisialski Security and Data Center Product Manager

KOMPUTER JEST JEDNOCZEŚNIE NARZĘDZIEM i CELEM ATAKU (PRZESTĘPSTWA) Kinga Dziedzic

Podstawy bezpieczeństwa

Zarządzanie bezpieczeństwem informacji w urzędach pracy

Zarządzanie informacją i wiedzą w usługach o podwyŝszonym poziomie bezpieczeństwa. Poznań,

dr Beata Zbarachewicz

SPAM studium przypadku

ZARZĄDZENIE NR 1386/2006 PREZYDENTA MIASTA KRAKOWA Z DNIA 5 lipca 2006 roku

3.1. Na dobry początek

PUBLIC / TLP: WHITE 1 / 7. Przygotowany przez: Jarosław Stasiak Zatwierdzony przez: Jarosław Górski Data Wydanie Autor Zmiana

dr hab. prof. UO DARIUSZ SZOSTEK Kancelaria Szostek-Bar i Partnerzy RODO a cyberbezpieczeństwo

Polityka Bezpieczeństwa Danych Osobowych. w sklepie internetowym kozakominek.pl prowadzonym przez firmę Worldflame Sp. z o. o.

Seminarium Dzieje Internetu w Polsce r. Krzysztof Silicki

Internet Explorer. Okres

Czy treści zawierające pornografię dziecięcą powinny być filtrowane i blokowane przez operatorów telekomunikacyjnych?

Raport z badania Ankietowego. Wizerunek Urzędu Miasta Nowy Targ i oczekiwania jego klientów - w ramach procedury systemu zarządzania, jakością PZ-1.5.

SZCZEGÓŁOWY RAPORT NASK ZA DRUGI KWARTAŁ 2011 ROKU. Ranking cctld z obszaru UE, stan na koniec drugiego kwartału 2011

Usługi finansowe. Raport z badania ilościowego przeprowadzonego w Internecie października 2004

Model referencyjny doboru narzędzi Open Source dla zarządzania wymaganiami

Plan działań w zakresie zapewnienia bezpieczeństwa cyberprzestrzeni RP

Urządzenia mobilne Nowe szanse, nowe zagrożenia FWZQJAEHEPQABIRQS

REGULAMIN KORZYSTANIA Z SYSTEMU POCZTY ELEKTRONICZNEJ PAŃSTWOWEJ WYŻSZEJSZKOŁY INFORMATYKI I PRZEDSIĘBIORCZOŚCI W ŁOMŻY

SIŁA PROSTOTY. Business Suite

Zaufanie i bezpieczeństwo w Europejskiej Agendzie Cyfrowej. Od idei do wdrożenia. Sesja Europejska droga do nowego ładu informacyjnego

Karta Systemu Jakości. wersja 1.0

Ochrona infrastruktury krytycznej w Polsce - aktualny stan prac

GŁÓWNY URZĄD STATYSTYCZNY Departament Badań Demograficznych

ABC bezpieczeństwa danych osobowych przetwarzanych przy użyciu systemów informatycznych (cz. 4)

OFERTA RAPORTU. Szkolnictwo wyższe analiza porównawcza Polski i wybranych krajów świata. Kraków 2012

PROJEKT ARAKIS DOŚWIADCZENIA Z OBSERWACJI ZAGROŻEŃ W SIECI Tomasz Grudziecki (CERT Polska / NASK)

Wyciąg z ogólnej analizy ataków na witryny administracji państwowej RP w okresie stycznia 2012r.

Statystyka w pracy badawczej nauczyciela

Metryka dokumentu: RFC-2350 CERT Alior Data wydania pierwszej wersji: wydania kolejnej jego wersji.

Zagrożenia mobilne w maju

Sprawdzenia dokonywane przez uprawnione instytucje u operatorów telekomunikacyjnych

Rola i zadania polskiego CERTu wojskowego

Sposoby prezentacji problemów w statystyce

Analiza praktyk zarządczych i ich efektów w zakładach opieki zdrowotnej Województwa Opolskiego ROK 2008 STRESZCZENIE.

Zadania PCSS w Polskiej Platformie Bezpieczeństwa Wewnętrznego

Ana li za in cy den tów na ru sza ją cych bez pie czeń stwo te le in for ma tycz ne zgła sza nych do ze społu CERT Pol ska w roku 2008

System Kancelaris. Zdalny dostęp do danych

ATAKI NA SYSTEMY KOMPUTEROWE POZNAJ SWOJEGO WROGA. opracował: Krzysztof Dzierbicki

Bezpieczeństwo danych (kradzież, nieautoryzowana edycja) Bezpieczeństwo IT (sniffing, spoofing, proxy anonimizujące, tunelowanie i przekierowanie

Czy technologie XX wieku mają szanse z cyberprzestępczością XXI wieku?

9. System wykrywania i blokowania włamań ASQ (IPS)

ROADSHOW2016. Wprowadzenie. Rynek telekomunikacji w Polsce. Marcin Bieńkowski. kontakt: marcin.w.bienkowski@gmail.com

PROGRAM AUTORSKI KOŁA INFORMATYCZNEGO UCZNIÓW SZKOŁY PODSTAWOWEJ

Instytut-Mikroekologii.pl

Bezpieczeństwo systemów informatycznych Radek Kaczorek, CISA, CIA, CISSP, CRISC

ANASIL 2.2 dla MS Windows 95/98/NT/2000/XP

Analiza ataków na strony www podmiotów publicznych. skala zjawiska w latach

Reforma ochrony danych osobowych RODO/GDPR

Polityka bezpieczeństwa. przetwarzania danych osobowych. w Urzędzie Miejskim w Węgorzewie

Bezpieczeństwo danych i systemów informatycznych. Wykład 1

Pomoc dla r.

Raport z badania Ankietowego. Wizerunek Urzędu Miasta Nowy Targ i oczekiwania jego klientów - w ramach procedury systemu zarządzania, jakością PZ-1.5.

Audyt zasobów sprzętowych i systemowych (za pomocą dostępnych apletów Windows oraz narzędzi specjalnych)

Firmowe media społecznościowe dla pracowników

ECDL/ICDL Zarządzanie projektami Moduł S5 Sylabus - wersja 1.0

01. Bezpieczne korzystanie z urządzeń i systemów teleinformatycznych przez pracowników instytucji finansowych

Agenda. Rys historyczny Mobilne systemy operacyjne

Komisja ds. Jakości Opieki Zdrowotnej Strategia zaangażowania społecznego

Wykład I. Wprowadzenie do baz danych

Metody zabezpieczania transmisji w sieci Ethernet

ZASTOSOWANIE KOMPUTERA W PRACY NAUCZYCIELA WYCHOWAWCY

Internet Action Plan w Polsce

Bezrobotni według rodzaju działalności ostatniego miejsca pracy w województwie zachodniopomorskim w 2017 roku

Raport CERT NASK w zakresie naruszeń bezpieczeństwa w sieci Internet w roku 1996

SPOŁECZNE UWARUNKOWANIA INNOWACYJNOŚCI. dr Jagoda Mrzygłocka- Chojnacka

EXAMPLE CAMPAIGN Analiza skuteczności internetowej kampanii reklamowej

Opis Przedmiotu Zamówienia na przeprowadzenie testów bezpieczeństwa systemu wspomagania nadzoru archiwalnego e-nadzór

, , POLSKA POLITYKA ZAGRANICZNA W OPINII SPOŁECZNEJ WARSZAWA, PAŹDZIERNIK 95

CBOS CENTRUM BADANIA OPINII SPOŁECZNEJ POSTRZEGANY STOSUNEK KRAJÓW UE DO POLSKI BS/25/2004 KOMUNIKAT Z BADAŃ WARSZAWA, LUTY 2004

Załącznik nr 1 do Zarządzenia nr 22/2018 Dyrektora SP71 z dnia 7 maja 2018r.

sprawdzonych porad z bezpieczeństwa

Cyberbezpieczeństwo w Obiektach Przemysłowych na Przykładzie Instalacji Nuklearnych. Monika Adamczyk III FBST

GSMONLINE.PL. UKE: Polacy o rynku telekomunikacyjnym w roku

Ataki socjotechniczne prawda czy fikcja? Jak się przed nimi bronić?

BEZPIECZEŃSTWO INFORMACJI ATAKI HAKERÓW NA POLSKIE URZĘDY

ZASADY DOSTAWY I SPRZEDAŻY NOWYCH POJAZDÓW SILNIKOWYCH MARKI BMW I MINI I. PRZEDMIOT 1. Poniższe zasady ( Zasady ) określają warunki zamawiania

Badania Marketingowe. Kalina Grzesiuk

MONITOROWANIE WINDOWS Z NETCRUNCHEM 7 P A G E 1

Transkrypt:

CERT POLSKA Raport 2001 Przypadki naruszające bezpieczeństwo teleinformatyczne

1 Wstęp 1.1 Informacje dotyczące zespołu CERT POLSKA CERT(Computer Emergency Response Team) Polska jest zespołem powołanym do reagowania na zdarzenia naruszające bezpieczeństwo w sieci Internet. CERT Polska działa od 1996 roku ( do końca roku 2000 pod nazwą CERT NASK), a od roku 1997 jest członkiem FIRST (Forum of Incidents Response and Security Teams). Od roku 2000 członkiem europejskiej inicjatywy zrzeszającej zespoły reagujące Trusted Introducer 1. W ramach tych organizacji współpracuje z podobnymi zespołami na całym Świecie. Do głównych zadań zespołu należy: rejestrowanie i obsługa zdarzeń naruszających bezpieczeństwo sieci alarmowanie użytkowników o wystąpieniu bezpośrednich dla nich zagrożeń współpraca z innymi zespołami IRT (Incidents Response Team) w ramach FIRST prowadzenie działań informacyjno edukacyjnych, zmierzających do wzrostu świadomości dotyczącej bezpieczeństwa teleinformatycznego (zamieszczanie aktualnych informacji na stronie www.cert.pl, organizacja cyklicznej konferencji SECURE) prowadzenie badań i przygotowanie raportów dotyczących bezpieczeństwa polskich zasobów Internetu niezależne testowanie produktów i rozwiązań z dziedziny bezpieczeństwa teleinformatycznego prace w dziedzinie tworzenia wzorców obsługi i rejestracji incydentów a także klasyfikacji i tworzenia statystyk 2 Statystyki CERT POLSKA Zgodnie z powyższymi założeniami programowymi CERT POLSKA co roku przygotowuje i udostępnia statystyki dotyczące przypadków naruszenia bezpieczeństwa teleinformatycznego w polskich zasobach internetowych. Niniejszy raport jest szóstym z kolei raportem tego typu. Dotychczasowe (począwszy od roku 1996) raporty dostępne są na stronie CERT POLSKA (http://www.cert.pl/ -> Opracowania CERT Polska -> Raporty) 1 22 listopada 2001 zespół uzyskał najwyższy poziom zaufania Trusted Introducer Level 2.

3 Statystyka przypadków naruszających bezpieczeństwo teleinformatyczne 2 3.1 Liczba przypadków naruszających bezpieczeństwo teleinformatyczne W roku 2001 odnotowano 741PNBT. 3.2 Liczba zaatakowanych komputerów Wśród stwierdzonych PNBT odnotowaliśmy wiele takich, w trakcie których przeprowadzono atak na więcej niż jeden komputer czy inny obiekt sieciowy. W statystyce rodzajem 1+ określono te wszystkie przypadki kiedy wiadomo było, że liczba zaatakowanych komputerów była większa niż jeden, jednak nie było możliwe ustalenie konkretnej wartości. Mimo tego w ponad 50% przypadków mieliśmy do czynienia z atakiem na jeden komputer. 34% Klasy ilościowe 3% 9% ' 54% 0% 10% 20% 30% 40% 50% 60% 1 2-254 255 + 1+ Procent Rysunek 1 - Liczba zaatakowanych komputerów w trakcie jednego ataku 3.3 Typy odnotowanych ataków Począwszy od 2001 roku CERT Polska rozpoczął klasyfikację incydentów zgodnie z propozycją John a D.Howard a i Thomas a A.Longstaff a, znaną pod nazwą Common Language 3. Dodatkowo, aby dobrze scharakteryzować rozkład rodzajów ataków w kontekście najbardziej popularnych ataków, przygotowaliśmy skróconą statystykę najczęściej odnotowywanych ataków szczegółowych, takich jak chociażby najbardziej znane wirusy (3.3.2). 2 W dalszej części raportu przypadki naruszenia bezpieczeństwa teleinformatycznego określane będą skrótem PNBT 3 Wszystkich zainteresowanych szczegółami tej klasyfikacji odsyłamy do publikacji Common Language (http://www.cert.org/research/taxonomy_988667.pdf)

3.3.1 Klasyfikacja incydentów wg Common Language Przypadki, w czasie obsługi których, można było zgromadzić dane pozwalające na wypełnienie wszystkich cech PNBT stanowią około 9%. Należy zwrócić uwagę, że klasyfikacja Common Language z założenia jest klasyfikacją kompletną, dlatego zawiera również kategorie, które właściwie nie są zupełnie zgłaszane do zespołów reagujących podobnych do takiego jakim jest zespół CERT Polska (np.: ataki fizyczne). Niemniej jednak dla porządku i pełnego obrazu, w naszych statystykach nie pomijamy tych kategorii. Poniższy wykres przedstawia w ilu przypadkach udało się ustalić daną cechę PNBT. Najbardziej podstawową formą ataku komputerowego jest tzw. zdarzenie (ang. event). Cechami charakteryzującymi zdarzenie są działanie (action) jakie podjął intruz oraz cel (target) jaki zaatakował. W związku z tym wszystkie przypadki muszą i mają określone te dwie cechy. 24,3% 53,4% 10 10 28,6% 41,3% 32,5% 0% 20% 40% 60% 80% 100% 120% Atakujący Narzędzie Słabość Działanie Cel Rezultat Przyczyna Rysunek 2 Procent ustalenia poszczególnych cech PNBT. Poniższe podpunkty pokazują rozkład procentowy w poszczególnych cechach opisujących PNBT

3.3.1.1 Atakujący 4 Na poniższym wykresie widzimy rozkład procentowy związany z kategorią atakujący. Dwie najważniejsze grupy to hakerzy i zawodowi przestępcy. Termin zawodowy przestępca należy traktować umownie. W rzeczywistości w tej kategorii znaleźli się wszyscy, którzy rozsyłają niezamawianą korespondencję. 1,3% 2,2% 0,8% 13,6% 14,6% 0% 2% 4% 6% 8% 10% 12% 14% 16% Hakerzy Szpiedzy Terroryści Procownicy Zawodowi przestępcy Wandale Voyeurs 3.3.1.2 Narzędzia Rysunek 3 - Klasyfikacja atakujących Dla tej cechy związanej z PNBT zdecydowanie najwięcej jest przypadków, w których użyte zostały narzędzia określane jako samodzielny agent albo skrypt lub program. Pierwsze z nich są związane z masowymi atakami wirusów (Code Red, Nimda), zaś drugie z przypadkami skanowania i rozsyłania niezamawianej poczty elektronicznej. 2,0% 3,4% 16,3% 19,6% 0% 5% 10% 15% 20% 25% Atak fizyczny Wymiana informacji Polecenie użytkownika Skrypt lub program Samodzielny agent Zestaw narzędziowy Narzędzie rozproszone Podsłuch danych 4 W tej kategorii nie zostało przetłumaczone pojęcie voyeurs, ze względu na jego specyficzne znaczenie i brak jednoznacznego odpowiednika w języku polskim. Voyeurs - Atakujący, którzy atakują komputery dla podniecenia wywołanego uzyskaniem niejawnych informacji.

Rysunek 4 - Klasyfikacja używanych narzędzi ataku 3.3.1.3 Atakowana słabość systemu Luka w konfiguracji systemów komputerowych jest zdecydowanie najczęstszą przyczyną ataków komputerowych. Z doświadczeń CERT Polska wynika, że znacznie rzadszą przyczyną są luki w implementacji i zaprojektowaniu systemu. Zapewne przyczyną takiego a nie innego wyglądu tej statystyki jest stosowanie automatycznych narzędzi przez script kiddies, które to narzędzia (patrz również 5v) zazwyczaj są nastawiane na wykorzystanie luk w konfiguracji. 25,1% 2,4% 1,1% 0% 5% 10% 15% 20% 25% 30% Luka w projekcie Luka w implementacji Luka w konfiguracji Rysunek 5 - Klasyfikacja wykorzystania poszczególnych luk w systemie 3.3.1.4 Nieautoryzowane działanie Zdecydowanie największy procent nieautoryzowanego działania stanowią przypadki próbkowania i skanowania. Wśród tych przypadków również znajdują się ataki powiązane z robakami internetowym (Code Red, Nimda). Odnotowane przypadki nieautoryzowanego uwierzytelnienia i modyfikacji, powiązane są zazwyczaj z przypadkami włamania, a czasami włamania połączonego z podmianą strony WWW. 0,1% 5,0% 0,9% 0,15% 0,15% 0,3% 3,2% 12,8% 23,8% 53,6% 0% 10% 20% 30% 40% 50% 60% Próbkowanie Skanowanie Flood Uwierzytelnienie Obejście Podszywanie się Odczyt Kopiowanie Kradzież Modyfikacja Usunięcie Rysunek 6 - Nieautoryzowane działanie podejmowane przez atakującego

3.3.1.5 Cel ataku Cel ataku jest drugą podstawową cecha opisującą PNBT. Najczęściej, wśród PNBT w roku 2001, celem ataku były całe sieci lub nawet sieci sieci (internetworks), co wynika z popularności przypadków skanowania. Naruszenie bezpieczeństwa składnika infrasruktury, jest w rzeczywistości atakiem fizycznym, tego typu ataki nie są zgłaszane do CERT Polska. 11,5% 42,8% 12,0% 5,5% 7,6% 20,6% 0% 5% 10% 15% 20% 25% 30% 35% 40% 45% Konto Proces Dane Składnik Komputer Sieć Sieć sieci Rysunek 7 - Cel ataku 3.3.1.6 Rezultat Wśród rozpoznanych skutków działania intruzów zdecydowanie na pierwszy plan wysuwa się kradzież zasobów. Dwa podstawowe przypadki wpływające na taki stan rzeczy to kradzież zasobów rozumianych jako moc obliczeniowa oraz rozumianych jak praca ludzka. W pierwszym przypadku do nadużycia dochodzi w momencie wystąpienia ataków typu Denial of Service oraz co bardziej skomasowanych przypadków skanowania, zaś w drugim głównie w przypadku rozsyłania nie zamawianej korespondencji (spam), którego skutkiem działania jest swoista kradzież zasobów ludzkich poświęcanych na likwidację skutków spam u.

34,3% 1,5% 7,9% 3,9% 5,8% 0% 5% 10% 15% 20% 25% 30% 35% 40% Zwiększony poziom dostępu Ujawnienie informacji Sfałszowanie informacji Blokowanie działania Kradzież zasobów 3.3.1.7 Przyczyna Rysunek 8 - Rezultat przeprowadzonego ataku Przyczynę, która decydowała o wystąpieniu PNBT jest bardzo trudno ustalić, dlatego procent odpowiedzi na pytanie Co było przyczyną działalności intruza? jest niewielki. Właściwie możliwe jest to tylko w momencie rozpoznania całego incydentu i szczegółowego dochodzenia. Z takimi przypadkami w trakcie standardowych działań zespołu mamy do czynienia bardzo rzadko. Właściwie jedynym nie budzącym wątpliwości, co do przyczyn, przypadkiem jest spam. Rozsyłanie niezamawianej korespondencji niemalże w 100% powiązane jest z chęcią uzyskania korzyści finansowej, znacznie rzadziej z chęcią osiągnięcia celów politycznych (np.: propagandę) 4,0% 17,3% 1,0% 2,0% 0% 2% 4% 6% 8% 10% 12% 14% 16% 18% 20% Prestiż Korzyść polityczna Korzyść finansowa Zniszczenie Rysunek 9 - Przyczyna ataku

3.3.2 Klasyfikacja wg charakterystycznych ataków W celu uzupełnienia formalnej statystyki Common Language zamieszczamy również dodatkowe zestawienie, w którym można odnaleźć niektóre charakterystyczne kategorie, których nie ma w klasyfikacji Common Language Poniższy wykres przedstawia charakterystyczne rodzaje ataków w roku 2001 3,6% 4,6% 4,2% 3,1% 2,3% 2,0% 1,8% 1,0% 17,1% 13,9% 46,4% 0% 5% 10% 15% 20% 25% 30% 35% 40% 45% 50% Backdoor Włamanie Wirus Denial of Service SirCam Próbkowanie Podmiana strony WWW Code Red / Nimda Spam Skanowanie Nieokreślony Rysunek 10 - Charakterystyczne rodzaje ataków Jak widać z powyższego wykresu obserwujemy wyraźną przewagę różnego rodzaju skanowania i próbkowania, które łącznie stanowiły ponad 50 % (50,6) obsługiwanych przypadków. Znaczącą rolę odgrywają również przypadki spam u. Oczywiście przypadki, które są do nas zgłaszane wiążą się zazwyczaj z dużą uciążliwością lub z tzw. open relay em, czyli takim skonfigurowaniem serwera pocztowego, które pozwala na wykorzystywanie go przez spamer ów do rozsyłania niezamawianej korespondencji. Trzecią pozycję (13,9%) na liście najbardziej popularnych rodzajów ataków zajmują łącznie potraktowane Code Red i Nimda, szczególnie aktywne w letnich miesiącach zeszłego roku. Code Red i Nimda zostały potraktowane razem jako wirusy sieciowe działające na podobnych zasadach, były one również przez nas obsługiwane w dużej mierze w sposób automatyczny. 3.4 Źródło zgłoszenia PNBT Źródła zgłoszenia PNBT podzielono na 4 podstawowe kategorie: Użytkownik indywidualny; CERT; Instytucja ds. bezpieczeństwa; Firma, organizacja;

Każda z tych kategorii była podzielona na podmiot krajowy i zagraniczny. W ten sposób powstało 8 kategorii, które prezentowane są na poniższym wykresie. 3,9% 3,1% 9,6% 12,0% 9,5% 12,0% 11,2% 38,7% 0% 5% 10% 15% 20% 25% 30% 35% 40% 45% Indywidualny użytkownik krajowy CERT krajowy Instytucja ds. bezpieczeństwa krajowa Firma, organizacja krajowa Indywidualny użytkownik zagraniczny CERT zagraniczny Instytucja ds. bezpieczeństwa zagraniczna Firma, organizacja zagraniczna Rysunek 11 - Źródła zgłaszania PNBT. W przypadku kategorii CERT krajowy zdecydowaną większość stanowią zgłoszenia wewnętrzne CERT Polska związane ze spam em i wirusami, które zostały przesyłane na adres poczty elektronicznej przeznaczony do zgłaszania incydentów. Zgodnie z powyższymi statystykami 62,5% zgłoszeń pochodziło z Polski, pozostałe z zagranicy. 3.5 Źródło ataku W obsługiwanych przez nasz zespół PNBT w blisko 90% udało się ustalić źródło ataku. Należy oczywiście wziąć pod uwagę, że wiele z tych adresów było tzw. adresami pośrednimi, które intruz wykorzystał w celu ukrycia rzeczywistego źródła ataku. Nie posiadamy informacji jak dużo było tego typu przypadków. W wielu przypadkach szczegóły dotyczące źródła ataku, CERT Polska pozostawiał do ustalenia poinformowanej osobie lub komórce, odpowiedzialnej w danej organizacji za bezpieczeństwo lub administrację sieci. Kategorie na jakie podzieliliśmy źródła ataku są następujące: Ośrodki edukacyjne; Operatorzy telekomunikacyjni (ISP) 5 ; Firmy i organizacje; Ustalony Adres IP; 5 kategoria ta w dużej mierze dotyczy również użytkowników indywidualnych, którzy są klientami ISPs

Jak widać wśród tych kategorii jest też pozycja Ustalony adres IP. W tych przypadkach nie można było w prosty sposób zaklasyfikować źródła do innej kategorii dlatego zastosowano taką kategoryzację mówiącą o tym, że mimo braku dokładnych danych źródło ataku jest znane. 11,3% 1 14,0% 56,6% 8,1% 0% 10% 20% 30% 40% 50% 60% Ośrodki edukacyjne Dostawca usług internetowych Firma komercyjna Ustalony adres IP Nieokreśony Rysunek 12 - Źródła ataków Jak widać z powyższego wykresu podstawowe źródło ataków stanowią użytkownicy indywidualni, korzystający z połączeń oferowanych przez dostarczycieli usług internetowych. 4 Kooperacja przy obsłudze PNBT W trakcie obsługi PNBT współpracowaliśmy z wieloma zespołami typu CERT z całego świata. Zdecydowana większość z nich jest członkami międzynarodowych organizacji FIRST (Forum of Incident Response and Security Teams) lub/i Terena TF-CSIRT (Task Forces Computer Security Incident Response Teams). O transgraniczności przestępstw komputerowych niech świadczy lista krajów, z których pochodziły zespoły reagujące współpracujące z nami przy wyjaśnianiu incydentów: Australia, Dania, Finlandia, Francja, Holandia, Korea Południowa, Meksyk, Niemcy, Rosja, Stany Zjednoczone, Szwajcaria, Wielka Brytania, Włochy. W Polsce szczególną rolę odgrywała współpraca z zespołem TPSA Abuse Team, dodatkowo sporadycznie z zespołami bezpieczeństwa dostarczycieli usług internetowych. 5 Wnioski i trendy i. Wzrost PNBT. Z roku na rok odnotowujemy coraz to większą liczbę PNBT. Mimo niepodważalnego trendu związanego z rzeczywistym przyrostem tego typu przypadków, należy zwrócić uwagę również na inne istotne czynniki, wpływające na ostateczne statystyki:

Wzrost świadomości dotyczącej możliwości zgłoszenia PNBT i uzyskania pomocy od zespołu reagującego; Lepszy poziom obsługi zgłoszonego przypadku, co powoduje że poszkodowany zgłosi również następne tego typu przypadki (efektywność obsługi PNBT związana jest również z używaniem automatycznych narzędzi do obsługi standardowych przypadków); ii. iii. iv. Więcej przypadków skanowania. W znaczący sposób został potwierdzony trend związany z przyrostem przypadków skanowania komputerów i sieci. Wskazuje to na większą świadomość dotyczącą istnienia zagrożeń w sieci Internet i monitorowanie tych zagrożeń oraz, jak należy przypuszczać, używanie w większym stopniu systemów detekcji zagrożeń (IDS), które pozwalają na zwiększoną wykrywalność i łatwiejszą dokumentację tych przypadków. Po raz pierwszy Common Language. W tym roku po raz pierwszy przedstawiliśmy statystyki oparte o klasyfikację Common Language. Wyniki tych statystyk pokazują jak trudno jest określić wszystkie dane dotyczące incydentu, okazuje się, że jest to możliwe tylko w przypadku bardzo szczegółowego rozpoznania przypadku. Najważniejszymi cechami tej klasyfikacji jest kompletność i jednoznaczność co w przyszłości pozwoli porównać statystyki z różnych lat. Dlatego też ta klasyfikacja będzie kontynuowana w latach następnych. Automatyczne ataki. Obserwowane przypadki skanowania i rozprzestrzeniania się wirusów sieciowych wskazują na fakt powszechnego wykorzystywania przez hakerów automatycznych narzędzi, zarówno w fazie ich przygotowywania (np.: tworzenie wirusów) jak i przeprowadzania (np.: skanowanie, włamania za pomocą tzw. rootkits, czy działanie robaków sieciowych). Zdecydowana większość tych przypadków związana jest działalnością tzw. script kiddies, którzy w swojej działalności wykorzystują gotowe narzędzia, nie znając w rzeczywistości sposobu ich działania. v. Słabość konfiguracji. Działanie wspomnianych script kiddies powiązane jest zazwyczaj z wykorzystaniem znanych słabości, które nie zostały załatane przez administratorów. Potwierdzeniem tego faktu jest statystyka pokazująca, że największa liczba ataków związana była z wykorzystaniem luk w konfiguracji systemu. Dzięki temu jeszcze raz można się przekonać jak istotną rolę w zarządzaniu systemem informatycznym odgrywa sprawa odpowiedniego i systematycznego łatania istniejących w nim dziur. vi. Sprawcy ataków. Jeśli chodzi o źródło ataków, to najpoważniejszym zagrożeniem dla bezpieczeństwa systemów komputerowych są klienci dostarczycieli usług internetowych. Najczęściej są to klienci działający na łączach dodzwanianych (dial-up). Niestety, wciąż istnieje błędne przekonanie o anonimowości tego typu połączenia,

chociaż należy przyznać, że w przypadku działania z zagranicy, ustalenie sprawcy jest trudniejsze, co nie znaczy że niemożliwe. Przy wyjaśnianiu tych spraw dochodzą po prostu trudności organizacyjne polegające na wymianie odpowiednich danych pomiędzy CERT em a administratorami ISP. Wymaga to dobrej woli i potwierdzenia wiarygodności obydwu stron. Znaczący odsetek PNBT, w których źródłem ataku jest adres ISP sprawia, że kwestia dobrej współpracy z ISPs odgrywa i odgrywać będzie bardzo ważną rolę. 6 Kontakt Zgłaszanie incydentów: Informacja: Web site: Adres: cert@cert.pl info@cert.pl http://www.cert.pl/ CERT POLSKA NASK ul. Wąwozowa18 02-796 Warszawa tel.: +48 22 5231 274 fax: +48 22 5231 399

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres